Negli ultimi giorni è emerso un caso significativo di violazione dei meccanismi di protezione dati all’interno di Microsoft 365 Copilot, l’assistente AI integrato nelle applicazioni aziendali di produttività, che ha sollevato preoccupazioni profonde sulla capacità degli strumenti di intelligenza artificiale di rispettare le regole di governance e sicurezza imposte dalle organizzazioni. Microsoft Copilot ha ignorato etichette di sensibilità e regole di Data Loss Prevention (DLP) per due volte nell’arco di otto mesi, consentendo al sistema di accedere e persino sintetizzare contenuti etichettati come riservati nonostante le protezioni configurate dai tenant enterprise.
Il bug, tracciato nell’advisory Microsoft con il riferimento CW1226324, è stato inizialmente segnalato il 21 gennaio 2026 e ha interessato Copilot Chat all’interno della scheda “Work Tab”. In condizioni normali, i dati etichettati con livelli di sensibilità — per esempio “Confidential” o “Highly Confidential” — dovrebbero essere esclusi dal flusso di dati processati dall’intelligenza artificiale. Queste etichette, combinate con policy DLP definite attraverso Microsoft Purview, sono progettate per impedire sia all’essere umano sia agli strumenti automatizzati di elaborare, visualizzare o generare output da contenuti sensibili. Tuttavia, a causa di un errore nel codice che controlla il modo in cui Copilot accede alle cartelle utente, i messaggi presenti nelle cartelle “Sent Items” e “Drafts” sono stati effettivamente elaborati dal modello. In pratica ciò significa che, nonostante le policy configurate correttamente, Copilot ha potuto recuperare e sintetizzare nel suo output informazioni da email che tecnicamente non avrebbe dovuto leggere.
Dal punto di vista tecnico, la violazione non è stata causata da un bypass intenzionale di sistemi di protezione esterni, ma da una mancanza di coerenza tra il livello di enforcement delle etichette e il percorso di recupero dei dati adottato dal sistema di retrieval di Copilot. Le etichette di sensibilità e le regole DLP vengono normalmente applicate ai dati durante le operazioni di accesso e trasferimento nei servizi di backend come Exchange Online o SharePoint. Tuttavia, nel caso di Copilot, la componente di retrieval — il sottosistema che seleziona quali documenti o email entrano nella “context window” del modello AI — non ha sempre rispettato tali filtri prima di fornire il testo al modulo di generazione delle risposte. In altre parole, l’AI ha potuto operare come se fosse autorizzata a vedere quei dati, anche se policy e label avrebbero dovuto impedirlo.
L’evento ha un’importanza tecnica e operativa maggiore rispetto a un semplice bug: rappresenta un esempio concreto di come l’integrazione di modelli generativi in ambienti enterprise possa creare percorsi di elaborazione dei dati non contemplati dalle tradizionali architetture di sicurezza. In ambienti dove i controlli di sicurezza e conformità sono critici — ad esempio in settori sanitari, finanziari o governativi — la violazione di una regola DLP può non solo compromettere la riservatezza dei dati, ma anche infrangere requisiti legali e normativi, con possibili implicazioni in termini di responsabilità contrattuale e obblighi di notifica agli utenti o alle autorità di vigilanza.
Microsoft ha riconosciuto il problema in una comunicazione agli amministratori tenant, affermando che esisteva un errore di codice che consentiva l’indicizzazione e l’elaborazione di voci nelle cartelle Inbox e Draft nonostante fossero protette da etichette di sensibilità. La società ha dichiarato che la vulnerabilità non ha consentito l’accesso a utenti non autorizzati — vale a dire che chi ha visto o elaborato quei dati era già autorizzato a farlo — ma ha ammesso che il comportamento del sistema non soddisfaceva le aspettative di esclusione delle informazioni sensibili. Un aggiornamento di configurazione è stato distribuito a livello globale per mitigare il problema, e Microsoft ha riferito che i clienti interessati hanno iniziato a ricevere la correzione.
Oltre al caso specifico, questa situazione evidenzia una questione di fondo: i modelli di AI generativa introducono nuovi percorsi di accesso ai dati che non sono sempre coperti dalle infrastrutture di sicurezza tradizionali. Mentre policy DLP e label sono stati progettati per sistemi con percorsi di accesso deterministici, gli assistenti AI possono creare nuove modalità di combinazione e riutilizzo delle informazioni, emergenti da layer di retrieval non sempre visibili ai controlli di accesso classici. Questa dicotomia può portare a lacune non prevedibili nelle difese, e richiede un ripensamento di come le policy di sicurezza debbano interagire con gli strumenti generativi per rendere effettivamente affidabile il loro uso in ambienti enterprise.